OSSIM - Snort/OSSEC/Nagios日志记录Config问题

Question

快速n00b OSSIM问题。我到处找过了，但没有找到我要找的东西。我目前有一个Nagios、OSSEC、Nessus和Snort服务器，我希望这些服务器保持活动状态，但只需将日志发送到OSSIM服务器，并让它进行关联和绘图。那能办到吗？我所看到的一切都是将各种软件功能实际放在OSSIM框上，但我不想这样做。我在所有系统上运行CentOS。谢谢。

Answer 1

Nagios、OSSEC、Snort和Nessus都可以登录到syslog。然后，您可以使用它将日志转发到OSSIM服务器。一旦所有的日志都到了那里就能正常工作了。

Answer 2

日志服务器

1. vi /etc/sysconfig/syslog (通过在编辑SYSLOGD_OPTIONS="-m 0 -r -x"后将-r -x添加到SYSLOGD\_OPTIONS="-m 0"结果中来启用远程连接)
2. 使用vi /etc/sysconfig/iptables在日志服务器的防火墙上打开端口514 UDP到源的IP，并添加行：-A INPUT -p udp -m udp --dport 514 -j ACCEPT

在客户机上(将日志发送到日志服务器)

1. vi /etc/syslog.conf
2. 在文件\*.* @IP\_OF\_LOG_SERVER的末尾添加一行

在客户端的启动或重新启动期间，使用日志服务器上的tail -f /var/log/messages进行验证。